Ubuntu-Forum & Kubuntu-Forum | www.Ubuntu-Forum.de

Zitat von »Fredl«

Jedes Zertifikat hat eine Gültigkeitsdauer. Die kann zwar auch "unendlich" sein, aber irgendwann gibt es eine Startzeit. Und daher stehen Beginn und Ende der Gültigkeit im Zertifikat drin. Man kann sehr wohl eines erstellen, das erst in zwei Monaten für zehn Tage gültig sein wird. Davor und danach sollte jeder Browser eine Ungültigkeits-Warnung ausgeben.

Hier wird aber etwas ähnliches behauptet:

Zitat von »Claw«

Außerdem kann man einem Zertifikat nicht ansehen ob es ausgetauscht
wurde oder nicht da die Aussteller den alten Gültigkeitszeitraum
übernehmen. Daher sieht es genauso aus wie das alte Zertifikat nur
mit anderem Fingerprint.

http://www.heise.de/ix/news/foren/S-Re-A…-25077406/read/

Zitat

Bei tausenden Besuchen pro Tag muss es sich ja lohnen sich mit der
Materie zu beschäftigen, oder simpel ein Webhosting zu finden welches
mit diesem "Andrang" zu Recht kommt...

dass ich hier nach einer Lösung suchte, ist für dich etwas anderes als "sich mit der Materie zu beschäftigen"? Ich versteh grad die Logik deiner Denke nicht so recht

Zitat von »maettu«

PS: Ein Paket aktualisieren gehört schon noch in den Bereich des Machbaren von einem "Laien-Admin"! Ich würde gar empfehlen solche Aktualisierungen regelmässig zu machen!

Hab ich doch gemacht, hast es nicht gelesen?

Er Sagt aber, dass das so gehanhabt würde. Dann hätte man ja valide Zertifikate, deren kompromittierten Vorläufer zurückgezogen wurden, und könne ihre Ungefährlichkeit trotzdem nicht erkennen, falls der Timestamp nicht geändert wurde. Oder verstehe ich das hier falsch?

Zitat

13. April 2014 20:27
Re: Massenrückruf kann man schon
Bernd Paysan, Bernd Paysan (mehr als 1000 Beiträge seit 11.01.00)

knidder schrieb am 13. April 2014 17:25
> Dann erklär mir mal, warum man Rootkeys zurückrufen soll, die mit dem
> Internet noch nie in Kontakt gekommen sind? Aus reinem AKtionismus
> oder was?

Weil wir ein ganz großes Problem bei der Auswertung der CRLs haben:
Das funktioniert nämlich nicht (oder zumindest vor 3 Jahren nicht):

> https://www.imperialviolet.org/2011/03/18/revocation.html

Wer also einen Key erbeutet hat, der kann mit dem zwar
zurückgezogenen, aber vom Timestamp nach wie vor gültigen Zertifikat
eine MITM-Attacke fahren, die nicht erkannt wird.

http://www.heise.de/ix/news/foren/S-Re-M…-25077279/read/

ImperialViolet
Revocation doesn't work (18 Mar 2011)
https://www.imperialviolet.org/2011/03/18/revocation.html

EDIT: Hm, das Zitat trifft im Ende ja eine andere Annahme, nämlich, dass sich revozierte Zertifikate bei Timestamp-Gültigkeit zur MITM-Attacke ausnutzen lassen, da sie nicht richtig von den Browsern erkannt werden. Es scheint heute aber doch teilweise zu funktioniernen (?) http://blog.cloudflare.com/certificate-r…-and-heartbleed
Ich hatte das eher so verstanden wie oben ausgeführt.

Dass Closed-Source vor ähnlichen, wenn auch zufällig mit weniger Tragweite, nicht verschont bleibt kann man schön am Apple-bug sehen.

Zitat von »rbest«

dass ich hier nach einer Lösung suchte, ist für dich etwas anderes als "sich mit der Materie zu beschäftigen"? Ich versteh grad die Logik deiner Denke nicht so recht

Für mich gehört als verantwortungsvoller Admin, dass man sich zunächst über grundlegende Themen einliest! Und nicht mal faul in ein Forum schreibt! Hilfe ich habe Problem so und so...
Und ein Paket aktualisieren gehört wirklich zu den einfacheren Dingen eines Web-Server Admin. Denke mal die Einrichtung von PHP, Mysql und Wordpress war schwieriger.
Man kann immer noch bei wirklichen Problemen in ein Forum schreiben, dann aber mit einer guten Fehlerbeschreibung. Die Gesellschaft ist aber immer fauler und fragt jedes noch so einfache Problem, in einem Forum...
Es wird zum Standard, dass man nicht einmal eine Suchmaschine bemüht bevor man was postet!

Aber Schwam drüber!

Zum Thema Zertifikate: Fast jeder Benutzer drückt doch schnell mal auf "ignorieren". Schätze mal jeder hier hat genau das auch schon gemacht!

Und bei einer Bank erwarte ich so oder so noch etwas mehr Sicherheit als nur ein Zertifikat! Darum denke ich sind die meisten Banken nach wie vor sicher, was Online-Banking anbelangt.
Gut ich würde aber bei der Bankwebseite nicht auf "ignorieren" drücken

Klar jede Bank wird den Hartbleed-Bug schliessen müssen! Also bei den Banken habe ich noch weniger Angst, dass hier dieser Bug nicht geschlossen wird.
Sogar der Marketing-Mensch versteht, dass dieser prominente Bug zum Imageschaden führt, wenn man ihn nicht fixt.

Es konnten aber die letzten zwei Jahre fleissig keys, Passwörter und vielleicht auch Kreditkartennummern über den bug abgefischt werden, er war ja seit dem mit OpenSSL per heartbeat ab Version 1.0.1 (falls nicht mit -DOPENSSL_NO_HEARTBEATS kompiliert wurde) im Umlauf. Da interessiert es doch nicht, ob die Lücke jetzt geschlossen wurde. Da sollten dann auch die betroffenen Passwörter ausgetauscht werden. Außerdem ist es möglich so die verschlüsselte Information der letzten zwei Jahre zu entschlüsseln, solange nicht das selten implementierte Perfect Forward Secrecy vom Websitebetreiber angewendet wurde.

Zitat von »floogy«

Außerdem ist es möglich so die verschlüsselte Information der letzten zwei Jahre zu entschlüsseln, solange nicht das selten implementierte Perfect Forward Secrecy vom Websitebetreiber angewendet wurde.

Nun gut aber die meisten Webseiten wie z. B. dieses Forum haben die Daten von gewissen Personen teilweise schon fast öffentlich. Und bei mehr Interesse denke ich mal kann eine NSA so eine Forendatenbank schon holen...
Viele Seiten werden auch das Login nicht Verschlüsseln.
Praktischer sind wohl die Meta-Daten, also wer mit wem kommuniziert. Und diese werden ja beim Email-Protokoll unverschlüsselt übertragen!
Das ermöglicht schon eine gute "Vorsortierung"...

Passwörter ändern ist immer eine gute Idee, das sollte man so oder so regelmässiger machen
Wenn sich mit der Zeit viele Passwörter ansammeln ist ein Passwortmanager keine schlechte Idee. Ich verwende Keepass es gibt da verschiedenste Versionen für alle OS.
Besser als eine "passwort.txt" Die Zwei-Wege-Authentifikation ist auch bei immer mehr Diensten möglich und sollte auch genutzt werden.

Na, ok wenn man absolut keine sensitiven Daten verwendet, nie shoppt und man nie per Klarnamen unterwegs ist oder je web.de oder ähnliche Maildienste verwendet hat und auch die Möglichkeit von Rufmorden absolut ausschließt, dann magst Du Recht haben und heartbleed ist eine Lappalie. Übrigens gebe ich Dir Recht, und es spricht eher wenig gegen Wegwerf-Passwörtern in ungeschützten Foren wie dieses, da die Passwörter sowieso im Klartext übertragen werden. Aber davon rede ich nicht. Naja, und wenn die NSA schon alles weiß, dann ist ja sowieso alles egal, oder? Das Argument leuchtet mir auch nicht ein, bzw. so weit würde ich nicht gehen.

Deinen letzten Absatz kann ich voll unterstreichen, auch wenn ich dem Anfang Deines Posts nicht folgen mag, vieles von dem ist natürlich so, aber ich weiß nicht genau worauf Du hinaus willst.

Gerade gefunden: Heartbleed: Datendiebstahl beim kanadischen Finanzamt [heise news 14. 4. 2014 19:00 Uhr]

Zitat von »floogy«

Deinen letzten Absatz kann ich voll unterstreichen, auch wenn ich dem Anfang Deines Posts nicht folgen mag, vieles von dem ist natürlich so, aber ich weiß nicht genau worauf Du hinaus willst.

Ich meine damit jeder soll damit rechnen, dass man seine Daten bei den verschiedensten Webseiten lesen kann (jeder Admin hat ja seinen Server immer 100% sicher ). Und dann macht es mir nichts/weniger aus wenn man Daten von vor 2 Jahren kryptographisch entschlüsseln kann.
Den die Daten sind ja bei den meisten Webseiten über Jahre hinweg noch vorhanden! Also warum einen Krypto-Stream entschlüsseln, wenn man sich gleich eine Datenbank vornehmen könnte? Oder gar ein Benutzerkonto erstellen kann und fast alle Forenbeiträge von Person xy lesen kann...
Ich will damit sagen der Aufwand um einen Krypto-Stream zu entschlüsseln ist zu gross.

Und Rufmord kann man nicht nur mit Kryptographie verhindern, schon mal daran gedacht ein Account unter fremdem Namen zu erstellen? Relativ simpel und böse! Kenne auch Leute die so zu einem "eigenen" Facebook-Account gekommen sind

Zitat von »floogy«

Naja, und wenn die NSA schon alles weiß, dann ist ja sowieso alles egal, oder?

Die werden wohl eher das Problem haben mit zu vielen Daten. Sprich wenn man einfach mal "alles" logt, dann muss man die Nadel im Heuhaufen finden, wobei die Nadel der Terrorist ist
Leider kann man seine "Meta-Daten" bisher bei Email-Verkehr nicht verschlüsseln, und so die "Vorsortierung" ausschalten. Sobald man eine Zielperson ist, dann werden die verschiedenen kleineren Webseiten zu wenig Sicherheit haben...

PS: Die NSA sagt ja sie haben Heartbleed nicht gekannt

Zitat von »maettu«

Ich meine damit jeder soll damit rechnen, dass man seine Daten bei den verschiedensten Webseiten lesen kann (jeder Admin hat ja seinen Server immer 100% sicher ). Und dann macht es mir nichts/weniger aus wenn man Daten von vor 2 Jahren kryptographisch entschlüsseln kann.

Ja klar sollte man das immer im Hinterkopf behalten, nur finde ich Deine Schlussfolgerung ziemlich zynisch, bzw. als Bankrotterklärung der informationellen Selbstbestimmung und gefährlich für das Selbstverständnis als Teil dieser Gesellschaft. Ich verstehe aber die Frustration, die dahinter steckt, denke aber nicht, dass Aufgeben eine Alternative ist. Also immer schön die Schere im Kopf behalten und selbst vorsortieren.

Zitat von »maettu«

Den die Daten sind ja bei den meisten Webseiten über Jahre hinweg noch vorhanden! Also warum einen Krypto-Stream entschlüsseln, wenn man sich gleich eine Datenbank vornehmen könnte? Oder gar ein Benutzerkonto erstellen kann und fast alle Forenbeiträge von Person xy lesen kann...
Ich will damit sagen der Aufwand um einen Krypto-Stream zu entschlüsseln ist zu gross.

Ich meine aber auch sensiblere Daten, denn dafür ist die sichere Verbindung ja vorgesehen. Dass alle meine Rezepte sehen können, wenn ich sie auf chefkoch veröffentliche will ich ja, das steckt ja schon in der Wortbedeutung. Hier geht es aber um sensible Bereiche, und dass diese nun, mit dieser eklatanten Schwachstelle in OpenSSL, theoretisch in der Öffentlichkeit oder gegenüber Stellen ausgestellt sind, von denen ich nicht will, dass sie an diesen Informationen teilhaben, sei es der BND, die NSA oder ein krimineller Ring, der mit meiner Kreditkartennummer demnächst einkaufen geht. Das schlimme ist ja, dass ich durch diese Schwachstelle völlig im Unklaren über die Sicherheit dieser sensiblen Daten zurückbleibe, und dass auch noch für die letzten zwei Jahre. Wenn man den Schlüssel hat ist es nicht sehr aufwendig die verschlüsselten Daten zu durchforsten, mit Big-Data geht das. Du hast natürlich recht, dass schon das Metadaten-Profil uns zu gläsernen Internetbewohnern macht, und dass die Daten zum großen Teil unverschlüsselt in Datenbanken gelangen, die eventuell auch nicht sicher vor dem Zugriff der Schwarzhüte sind. Die Konsequenz müsste also Deiner Meinung nach in der Abstinenz von online Ticket-Einkäufen, Internet-Shopping, online-banking und online-Bürgeramt-Nutzung liegen? Wie stellst Du Dir denn die vernetzte Arbeit von Verwaltungen, Regierungsstellen und medizinischen Einrichtungen so vor, wenn einem kryptografische Sicherheitssystem erst mal egal sind, da man kapituliert hat? Die Frustration über die Situation verstehe ich natürlich, aber das Achselzucken finde ich eher gruselig.

Zum NSA-Statement: Bloomberg ist aber in der Vergangenheit nicht unbedingt durch schlampige Recherchen aufgefallen.

Zitat von »floogy«

Das schlimme ist ja, dass ich durch diese Schwachstelle völlig im Unklaren über die Sicherheit dieser sensiblen Daten zurückbleibe, und dass auch noch für die letzten zwei Jahre.

Wer hat die Kapazität zwei Jahre Datenverkehr zu lagern/analysieren?

Zitat von »floogy«

Die Konsequenz müsste also Deiner Meinung nach in der Abstinenz von online Ticket-Einkäufen, Internet-Shopping, online-banking und online-Bürgeramt-Nutzung liegen? Wie stellst Du Dir denn die vernetzte Arbeit von Verwaltungen, Regierungsstellen und medizinischen Einrichtungen so vor, wenn einem kryptografische Sicherheitssystem erst mal egal sind, da man kapituliert hat

Ne ich hab nicht kapituliert! Hab ja selber erwähnt, dass Banken wohl nach wie vor sicher sind! Internet-Shopping ist halt immer so eine Sache, viele wollen gleich eine Kreditkarte bei der hat man immer noch die Möglichkeit eine Buchung zu stornieren.
Und das Handling von Kreditkarte wird auch von der Bank erledigt. Also alles Firmen die eine professionelle Sicherheitsabteilung haben. Kreditkartenfirmen haben auch Leute die sich mit Betrugsfällen befassen, beispielsweise wird nachgefragt wenn deine Karte plötzlich in Asien oder wo auch immer Belastet wird!

Was Bürgeramt betrifft, kann ich nur sagen was ist das? Eine Steuererklärung wird auch nicht online ausgefüllt, du hast selber gute Beispiele gezeigt

Viel interessanter ist Übrigens die Frage wie wird bei Openssl gearbeitet, welche Code-Reviews gibt es da? Sie haben nach Hilfe gerufen, wie z. B. hier erwähnt.

Zitat von »maettu«

Wer hat die Kapazität zwei Jahre Datenverkehr zu lagern/analysieren?

Chinesische Unternehmen, Regierungsstellen, organisierte Kriminalität, NSA etc. Es gibt für den Mitschnitt des Datenstroms Lösungen z.B. der Firma emulex/endace Intelligent Network Recorders (INR). Es muss ja auch nur eine Teilmenge des Traffics entschlüsselt werden, und es bleibt ja dem Zufall überlassen, ob schon in den ersten heartbleed Angriffen notwendige Zugangsdaten und Schlüssel ausgelesen werden, oder ob man dazu mehr Versuche benötigt und damit Traffic erzeugt, der auffällt. Es geht doch darum, ob es eine Technologie gibt, sich dem zu entziehen. Und da sehe ich nicht sehr viel anderes als das SSL/CA System, natürlich schon andere Implementierungen. Allerdings, nach dem was ich so gelesen habe ist OpenSSL die meistgenutzte Lösung, da es am performantesten ist. Viele verschlüsseln ja aus Performance-Gründen nicht.

Zitat von »maettu«

Ne ich hab nicht kapituliert! Hab ja selber erwähnt, dass Banken wohl nach wie vor sicher sind! Internet-Shopping ist halt immer so eine Sache, viele wollen gleich eine Kreditkarte bei der hat man immer noch die Möglichkeit eine Buchung zu stornieren.

Ok, dass online banking durch ein mehrwegiges Sicherheitskonzept sicherer ist als online shopping mag ja sein, aber viele Banken waren trotzdem der OpenSSL heartbleed Lücke ausgeliefert, auch da ging es um sensible Daten. Auch wenn Kreditkarten versichert sind und ich die Möglichkeit der Stornierung habe und eventuell auch von den Banken im Fall eines Missbrauchs vor der Buchung gefragt werde, so will ich doch bei der Abwicklung von online-Geschäften (auch ohne Kreditkarte übrigens), dass die Verbindung sicher ist.

Zitat von »maettu«

Was Bürgeramt betrifft, kann ich nur sagen was ist das? Eine Steuererklärung wird auch nicht online ausgefüllt, du hast selber gute Beispiele gezeigt

Das Bürgeramtist ein Service vieler Kommunen für die Abwicklung von Behördengängen in einem Gebäude oder auch Internetportal, z.B. zur Bürgerinformation, aber ich nehme mal an, dass Dir das ohnehin schon bekannt ist. In Deutschland gibt es mit ELSTER ein Programm, dass die elektronische Übermittlung der Steuererklärung erlaubt, dazu sind, bis auf wenige Ausnahmen, seit 2005 fast sämtliche Arbeitgeber und Unternehmer verpflichtet. Ich nehme aber mal an, dass hier kein OpenSSL verwendet wird. Hier dazu noch eine Heise-News zur Ausnutzung der Heartbleed Lücke beim kanadischen Finanzministerium, es gibt eine Verhaftung eines 19jährigen Informatikstudenten. Ihm drohen bis zu 20 Jahre Haft. Von wegen man benötigt zur Ausnutzung einen ganzen Serverpark und eine Infrastruktur wie die NSA.

Zitat von »maettu«

Viel interessanter ist Übrigens die Frage wie wird bei OpenSSL gearbeitet, welche Code-Reviews gibt es da? Sie haben nach Hilfe gerufen, wie z. B. hier erwähnt.

Ja, das ist tatsächlich eine interessante Frage.

Zitat von »floogy«

Von wegen man benötigt zur Ausnutzung einen ganzen Serverpark und eine Infrastruktur wie die NSA.

Klar nicht aber der Hacker wird auch die Lücke direkt ausgenutzt haben! Dazu braucht es auch nicht zwei Jahre Datenverkehr!
Komischerweise wurde er auch erwischt

Die Forward Security ist notwendig um den Geheimdiensten die Arbeit zu erschweren!
Aber da der Heartbleed-Bug jetzt von den meisten gefixt ist kann man wieder etwas sicherer im Netz surfen.

So und jetzt hab ich genug vom Thema Bis zum nächsten Sicherheitsbug

Zitat von »maettu«

Klar nicht aber der Hacker wird auch die Lücke direkt ausgenutzt haben! Dazu braucht es auch nicht zwei Jahre Datenverkehr!

Er könnte nun aber zwei Jahre Datenverkehr entschlüsseln, wenn er gezielt den Finanzamt https Datenstrom angezapft hätte. Außerdem weiß man ja nicht, ob Jemand außer der NSA, die es ja bereits dementiert hat, den heartbeat bug in den letzten zwei Jahren bereits kannte, die Audit-Tools mit denen man das in Finnland und bei Google entdeckte gab es ja auch schon vorher. Gesetzt den Fall jemand hat insgeheim so einen Audit gezielt an OpenSSL vorgenommen um ihn auszunutzen, dann hätte er auch gezielt ohne viel technischen Aufwand und Traffic den Datenstrom bestimmter Stellen abschöpfen können, oder nach der Lücke Websites scannen können und dort sporadisch den Datenstrom anzapfen können in der Hoffnung irgendwann geht schon ein Schlüssel ins Netz. Mit dem Schlüssel kann man dann gezielt weiter arbeitet, eventuell Zugang zu ganzen Systemen bekommen und dort unverschlüsselte (in dem Fall aber egal) Datenbanken zu ziehen, keine Ahnung, was dann im Einzelnen so alles möglich wird.

Zitat von »maettu«

Komischerweise wurde er auch erwischt

Na, weshalb wohl? Der Bug ist ja in den Logs nicht nachweisbar, sondern nur, wenn man den gesamten Traffic mitschneidet. So etwas wird wohl beim kanadischen Finanzamt gemacht, sonst hätten sie jetzt das Nachsehen. Oder sie haben sich Amtshilfe bei den nationalen Sicherheitsdiensten geholt . Wahrscheinlich setzen sie dort auch Perfect Forward Secrecy ein, wer weiß? Die andere Überlegung, die mir in den Sinn kam, als die Meldung Vorgestern auftauchte, war, dass sie selbst die 900 SIN verschlampt haben und nun heartbleed als Propaganda nutzen um diesen Fall zu verschleiern. Aber diese Vermutung sollte ja dann wohl in die falsche Richtung gehen, wie sich nun herausstellt.

Zitat von »maettu«

Die Forward Security ist notwendig um den Geheimdiensten die Arbeit zu erschweren!

Ja, das ist wohl jetzt nötig.

Zitat von »maettu«

Aber da der Heartbleed-Bug jetzt von den meisten gefixt ist kann man wieder etwas sicherer im Netz surfen.

Sofern man seine wichtigsten Passwörter getauscht und ein Auge auf die "vertrauenswürdige" Seite hat!

Zitat von »maettu«

So und jetzt hab ich genug vom Thema Bis zum nächsten Sicherheitsbug

Ja ich auch langsam Happy surfing!

EDIT: Übrigens scheinen Hacker auch Tokens der Zwei-Faktor-Authentifizierung (na, wer denkt hier an online banking?) bei SMS-Gateways und TOR-Exitnodes dank Heartbleed geknackt zu haben und so beliebige SMS oder TOR-Inhalte mitschneiden können.

Hallo allerseits,
noch eine letzte Info zum Service von Strato. Nachdem ich ordentlich auf den Putz gehauen habe, kam jetzt diese Mail:

"Ich habe Ihren Server soeben auf folgender Webseite auf den Heartbleed Bug getestet: http://possible.lv/tools/hb/?domain='xxx.xxx.xxx.xxx

Die Sicherheitslücke ist nicht mehr vorhanden, es wird Ihnen jedoch empfohlen Zertifikate und Passwörter zu erneuern.

"
Also - keine Angst vor dem Feind

Ich wuerde denen nicht einfach so glauben.

Ich kann mir aber nur schwer vorstellen, dass im Falle von Banken und anderen großen Organisationen mit weitreichender Reputation, der einfache patch nicht eingespielt wurde. Ob allerdings auch die Zertifikate und Schlüssel erneuert wurden ist wieder eine andere Frage, man hat ja die Lücke gepatcht .